WYROK TRYBUNAŁU (wielka izba)

z dnia 5 grudnia 2023 r. ( *1 )

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 2 i 7 – Pojęcia „przetwarzania” i „administratora” – Opracowanie mobilnej aplikacji informatycznej – Artykuł 26 – Współadministrowanie – Artykuł 83 – Nakładanie administracyjnych kar pieniężnych – Przesłanki – Wymóg umyślnego lub nieumyślnego charakteru naruszenia – Odpowiedzialność administratora za przetwarzania danych osobowych dokonane przez podmiot przetwarzający

W sprawie C‑683/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie, Litwa) postanowieniem z dnia 22 października 2021 r., które wpłynęło do Trybunału w dniu 12 listopada 2021 r., w postępowaniu:

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

przeciwko

Valstybinė duomenų apsaugos inspekcija,

przy udziale:

UAB „IT sprendimai sėkmei”,

Lietuvos Respublikos sveikatos apsaugos ministerija,

TRYBUNAŁ (wielka izba),

w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu-Matei, prezesi izb, M. Ilešič, J.‑C. Bonichot, L.S. Rossi A. Kumin, N. Jääskinen (sprawozdawca), N. Wahl i M. Gavalec, sędziowie,

rzecznik generalny: N. Emiliou,

sekretarz: C. Strömholm, administratorka,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 17 stycznia 2023 r.,

rozważywszy uwagi, które przedstawili:

–	w imieniu Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos – G. Aleksienė,

–	w imieniu Valstybinė duomenų apsaugos inspekcija – R. Andrijauskas,

–	w imieniu rządu litewskiego – V. Kazlauskaitė-Švenčionienė, w charakterze pełnomocnika,

–	w imieniu rządu niderlandzkiego – C.S. Schillemans, w charakterze pełnomocnika,

–	w imieniu Rady Unii Europejskiej – R. Liudvinavičiūtė oraz K. Pleśniak, w charakterze pełnomocników,

–	w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg oraz A. Steiblytė, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 4 maja 2023 r.,

wydaje następujący

Wyrok

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 2 i 7, art. 26 ust. 1 oraz art. 83 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

Wniosek ten został złożony w ramach sporu między Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (krajowym centrum zdrowia publicznego przy ministerstwie zdrowia, Litwa, zwanym dalej „NVSC”) a Valstybinė duomenų apsaugos inspekcija (urzędem ochrony danych osobowych, Litwa, zwanym dalej „VDAI”) w przedmiocie decyzji, na mocy której ten ostatni nałożył na NVSC administracyjną karę pieniężną na podstawie art. 83 RODO za naruszenie art. 5, 13, 24, 32 i 35 tego rozporządzenia.

Ramy prawne

Prawo Unii

Motywy 9–11, 13, 26, 74, 79, 129 i 148 RODO stanowią:

„(9)

[…] Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii [Europejskiej]. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii. […]

(10)

Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […]

(11)

Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich.

[…]

(13)

Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. […]

[…]

(26)

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. […] Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

[…]

(74)

Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

[…]

(79)

Ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna, administratorów i podmiotów przetwarzających – także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych – wymagają dokonania w ramach niniejszego rozporządzenia jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.

[…]

(129)

Aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar […]. Swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. Uprawnienia do prowadzenia postępowań wyjaśniających, jeżeli chodzi o dostęp do pomieszczeń, należy wykonywać zgodnie ze szczegółowymi wymogami przepisów państwa członkowskiego dotyczących postępowania, takimi jak wymóg uzyskania uprzedniego zezwolenia sądu. Każdy prawnie wiążący środek organu nadzorczego powinien być sporządzony na piśmie, mieć jasny i jednoznaczny charakter, wskazywać organ nadzorczy, który wydał środek, i datę wydania środka, nosić podpis szefa lub członka organu nadzorczego przez niego upoważnionego, podawać powody zastosowania środka oraz informować o prawie do skutecznego środka ochrony prawnej. Nie powinno to wykluczać dodatkowych wymogów na mocy przepisów państwa członkowskiego dotyczących postępowania. Wydanie prawnie wiążącej decyzji oznacza, że może ona być przedmiotem kontroli sądowej w państwie członkowskim organu nadzorczego, który ją wydał.

[…]

(148)

Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu”.

Zgodnie z art. 4 tego rozporządzenia:

„Na użytek niniejszego rozporządzenia:

»dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

»przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

»pseudonimizacja« oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

[…]

»administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8)	»podmiot przetwarzający« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

[…]”.

Artykuł 26 wspomnianego rozporządzenia, zatytułowany „Współadministratorzy”, stanowi w ust. 1:

„Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą”.

Artykuł 28 tego rozporządzenia, zatytułowany „Podmiot przetwarzający”, przewiduje w ust. 10:

„Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania”.

Artykuł 58 RODO, zatytułowany „Uprawnienia”, stanowi w ust. 2:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

a)	wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b)	udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

[…]

d)	nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

[…]

f)	wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

[…]

i)	zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;

[…]”.

Artykuł 83 tego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, ma następujące brzmienie:

„1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)	charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)	umyślny lub nieumyślny charakter naruszenia;

c)	działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)	stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)	wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f)	stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)	kategorie danych osobowych, których dotyczyło naruszenie;

h)	sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)	jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j)	stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k)	wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

4. Naruszenia przepisów dotyczących następujących kwesti[i] podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43;

[…]

5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a)	podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

b)	praw osób, których dane dotyczą, o których mowa w art. 12–22 [;]

[…]

d)	wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;

[…]

6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

7. Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

8. Wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.

[…]”.

Artykuł 84 wspomnianego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

Prawo litewskie

Artykuł 29 ust. 3 Viešųjų pirkimų įstatymas (ustawy – prawo zamówień publicznych) wymienia pewne okoliczności, w których instytucja zamawiająca ma prawo lub obowiązek cofnąć procedury przetargowe lub konkursowe wszczęte z jej inicjatywy, i to w dowolnym momencie przed zawarciem zamówienia publicznego (lub umowy wstępnej) lub ustaleniem laureata konkursu.

11	Artykuł 72 ust. 2 ustawy – prawo zamówień publicznych przewiduje etapy negocjacji, które instytucja zamawiająca prowadzi w ramach procedury negocjacyjnej w sprawie zamówienia publicznego bez uprzedniej publikacji.

Postępowanie główne i pytania prejudycjalne

W kontekście pandemii wywołanej wirusem COVID-19 Lietuvos Respublikos sveikatos apsaugos ministras (minister zdrowia Republiki Litewskiej) polecił na mocy pierwszej decyzji z dnia 24 marca 2020 r. dyrektorowi NVSC natychmiastowe nabycie systemu informatycznego do celów rejestracji i monitorowania danych osób narażonych na ten wirus w celu monitorowania epidemiologicznego.

Wiadomością elektroniczną z dnia 27 marca 2020 r. osoba podająca się za przedstawiciela NVSC (zwana dalej „A.S.”) poinformowała spółkę UAB „IT sprendimai sėkmei” (zwaną dalej „spółką ITSS”), że została ona wybrana przez NVSC do utworzenia w tym celu aplikacji mobilnej. Następnie A.S. wysłała do ITSS wiadomości elektroniczne dotyczące różnych aspektów utworzenia tej aplikacji, których kopia została wysłana do dyrektora NVSC.

14	W trakcie negocjacji między spółką ITSS a NVSC, poza A.S., inni pracownicy NVSC również skierowali do tej spółki wiadomości elektroniczne dotyczące redagowania pytań zadawanych w rozpatrywanej aplikacji mobilnej.

15	Przy tworzeniu tej aplikacji mobilnej opracowano politykę prywatności, zgodnie z którą jako administratorów wyznaczono spółkę ITSS i NVSC.

16	Rozpatrywana aplikacja mobilna, wymieniająca spółkę ITSS i NVSC, była dostępna do pobrania w sklepie internetowym Google Play Store od dnia 4 kwietnia 2020 r., a w sklepie internetowym Apple App store od dnia 6 kwietnia 2020 r. Była ona funkcjonalna do dnia 26 maja 2020 r.

W okresie od dnia 4 kwietnia 2020 r. do dnia 26 maja 2020 r. 3802 osoby skorzystały z tej aplikacji i dostarczyły dotyczące ich dane wymagane na podstawie wspomnianej aplikacji, takie jak numer identyfikacyjny, współrzędne geograficzne (szerokość i długość geograficzna), kraj, miasto, gmina, kod pocztowy, nazwa ulicy, numer budynku, nazwisko, imię, kod osobisty, numer telefonu i adres.

Drugą decyzją z dnia 10 kwietnia 2020 r. minister zdrowia Republiki Litewskiej postanowił powierzyć dyrektorowi NVSC zadanie zorganizowania nabycia rozpatrywanej aplikacji mobilnej od spółki ITSS i w tym celu przewidziano zastosowanie art. 72 ust. 2 prawa zamówień publicznych. Spółce tej nie udzielono jednak żadnego zamówienia publicznego na oficjalne nabycie tej aplikacji przez NVSC.

W istocie w dniu 15 maja 2020 r. NVSC zwróciło się do wspomnianej spółki o to, by w żaden sposób nie wymieniała go w rozpatrywanej aplikacji mobilnej. Ponadto pismem z dnia 4 czerwca 2020 r. NVSC poinformowało tę spółkę, że ze względu na brak środków finansowych na nabycie tej aplikacji zakończyło ono, zgodnie z art. 29 ust. 3 prawa zamówień publicznych, postępowanie dotyczące takiego nabycia.

W ramach wszczętego w dniu 18 maja 2020 r. dochodzenia dotyczącego przetwarzania danych osobowych VDAI ustaliło, że za pomocą rozpatrywanej aplikacji mobilnej zostały zebrane dane osobowe. Ponadto stwierdzono, że użytkownicy, którzy wybrali tę aplikację jako metodę monitorowania izolacji, która stała się obowiązkowa ze względu na pandemię COVID-19, odpowiedzieli na pytania związane z przetwarzaniem danych osobowych. Dane te zostały przekazane w odpowiedziach na pytania zadane na podstawie wspomnianej aplikacji i dotyczyły w szczególności stanu zdrowia zainteresowanej osoby oraz przestrzegania przez nią warunków izolacji.

Decyzją z dnia 24 lutego 2021 r. VDAI nałożyło na NVSC administracyjną karę pieniężną w wysokości 12000 EUR na podstawie art. 83 RODO w związku z naruszeniem przez NVSC art. 5, 13, 24, 32 i 35 tego rozporządzenia. W decyzji tej nałożono również administracyjną karę pieniężną w wysokości 3000 EUR na spółkę ITSS jako współadministratora danych.

NVSC zaskarżyło tę decyzję do Vilniaus apygardos administracinis teismas (regionalnego sądu administracyjnego w Wilnie, Litwa), który jest sądem odsyłającym, podnosząc, że za jedynego administratora w rozumieniu art. 4 pkt 7 RODO należy uznać spółkę ITSS. Ze swej strony spółka ITSS utrzymuje, że działała w charakterze podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO na polecenie NVSC, które jej zdaniem jest jedynym administratorem danych.

Sąd odsyłający zauważa, że spółka ITSS stworzyła rozpatrywaną aplikację mobilną i że NVSC doradzało mu w przedmiocie treści pytań zadawanych za pomocą tej aplikacji. Tymczasem nie istnieje umowa o udzielenie zamówienia publicznego między NVSC a spółką ITSS. Ponadto NVSC nie wyraziło zgody ani nie zezwoliło na udostępnienie tej aplikacji za pośrednictwem różnych sklepów internetowych.

Sąd ten wyjaśnia, że stworzenie rozpatrywanej aplikacji mobilnej miało na celu realizację celu wyznaczonego przez NVSC, a mianowicie zarządzania pandemią COVID-19 poprzez opracowanie narzędzia informatycznego, oraz że w tym celu przewidziano przetwarzanie danych osobowych. Jeśli chodzi o rolę spółki ITSS, nie przewidziano, że spółka ta realizuje inne cele niż cel pobierania wynagrodzenia za opracowany produkt informatyczny.

Wspomniany sąd zauważa również, że w toku dochodzenia prowadzonego przez VDAI ustalono, iż litewska spółka Juvare Lithuania zarządzająca informatycznym systemem służącym do monitorowania i kontroli chorób zakaźnych stwarzających ryzyko rozprzestrzenienia się powinna otrzymywać kopie danych osobowych zgromadzonych przez rozpatrywaną aplikację mobilną. Ponadto w celu jej przetestowania wykorzystano fikcyjne dane, z wyjątkiem numerów telefonów pracowników wspomnianej spółki.

W tych okolicznościach Vilniaus apygardos administracinis teismas (regionalny sąd administracyjny w Wilnie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że osobę zamierzającą nabyć narzędzie do zbierania danych (aplikację mobilną) w drodze zamówienia publicznego, niezależnie od faktu, że zamówienie publiczne nie zostaje udzielone oraz że nie dochodzi do przekazania utworzonego produktu (aplikacji mobilnej), z myślą o nabyciu którego [ta osoba skorzystała] z postępowania o udzielenie zamówienia publicznego, również należy uważać za administratora?

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że instytucję zamawiającą, która nie nabyła prawa własności do utworzonego produktu informatycznego i nie weszła w jego posiadanie, choć ostateczna wersja utworzonej aplikacji zawiera odnośniki lub interfejsy do tego podmiotu publicznego lub choć w polityce prywatności, która nie została oficjalnie zatwierdzona ani uznana przez dany podmiot publiczny, wskazano, iż ów podmiot publiczny jest administratorem, również należy uważać za administratora?

Czy zawarte w art. 4 pkt 7 RODO pojęcie »administratora« można interpretować w ten sposób, że osobę, która nie wykonywała żadnych faktycznych operacji przetwarzania danych zdefiniowanych w art. 4 pkt 2 RODO lub nie udzieliła wyraźnego pozwolenia/wyraźnej zgody na wykonywanie takich operacji, również należy uważać za administratora? Czy okoliczność, że produkt informatyczny wykorzystywany do przetwarzania danych osobowych został utworzony zgodnie ze zleceniem sformułowanym przez instytucję zamawiającą, jest istotna dla wykładni pojęcia »administratora«?

Jeżeli rozstrzygnięcie w przedmiocie faktycznych operacji przetwarzania danych ma znaczenie dla wykładni pojęcia »administratora«: czy zawartą w art. 4 pkt 2 RODO definicję »przetwarzania« [danych osobowych] należy interpretować w ten sposób, że obejmuje ona również sytuacje, w których kopie danych osobowych są wykorzystywane do testowania systemów informatycznych w toku procesu zmierzającego do nabycia aplikacji mobilnej?

Czy współadministrowanie danymi zgodnie z art. 4 pkt 7 i art. 26 ust. 1 RODO można interpretować wyłącznie w ten sposób, że polega ono na świadomie koordynowanych działaniach dotyczących ustalenia celu i sposobów przetwarzania danych, czy też pojęcie to można również interpretować w ten sposób, iż współadministrowanie obejmuje także sytuacje, w których brak jest wyraźnego »porozumienia [uzgodnienia]« w odniesieniu do celu i sposobów przetwarzania lub w których podmioty nie koordynują ze sobą swoich działań? Czy okoliczność związana z etapem procesu tworzenia sposobu przetwarzania danych osobowych (aplikacji informatycznej), na którym dane osobowe były przetwarzane, oraz cel utworzenia aplikacji są z prawnego punktu widzenia istotne dla wykładni pojęcia współadministrowania danymi? Czy »porozumienie [uzgodnienie]« między współadministratorami można rozumieć wyłącznie jako ustanowienie w jasny i określony sposób warunków regulujących współadministrowanie danymi?

Czy zawarty w art. 83 ust. 1 RODO przepis, zgodnie z którym »administracyjne kary pieniężne […] [są] […] skuteczne, proporcjonalne i odstraszające«, należy interpretować w ten sposób, że obejmuje on również przypadki przypisania odpowiedzialności »administratorowi«, gdy – w toku procesu tworzenia produktu informatycznego – deweloper wykonuje także czynności przetwarzania danych osobowych, oraz czy nieprawidłowe czynności przetwarzania danych osobowych dokonywane przez podmiot przetwarzający zawsze skutkują automatycznym powstaniem odpowiedzialności prawnej po stronie administratora? Czy ten przepis należy interpretować w ten sposób, że obejmuje on też przypadki odpowiedzialności administratora na zasadzie ryzyka?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytań od pierwszego do trzeciego

Poprzez pytania od pierwszego do trzeciego, które należy zbadać łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie aplikacji mobilnej, w sytuacji gdy podmiot ten sam nie przeprowadził operacji przetwarzania danych osobowych, nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania lub na publiczne udostępnianie tej aplikacji mobilnej i nie nabył wspomnianej aplikacji mobilnej.

28	Artykuł 4 pkt 7 definiuje w sposób szeroki pojęcie „administratora” jako oznaczające osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi „ustala cele i sposoby przetwarzania danych osobowych”.

Cel tej szerokiej definicji polega, zgodnie z celem RODO, na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych (zob. podobnie wyroki: z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 66; z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 73 i przytoczone tam orzecznictwo).

Trybunał orzekł już, że każda osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie takich danych i uczestniczy z tego powodu w określaniu celów i sposobów tego przetwarzania, może być uznana za administratora danych. W tym względzie nie jest konieczne, by określenie celów i sposobów przetwarzania następowało zgodnie z pisemnymi wytycznymi lub instrukcjami ze strony administratora (zob. podobnie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 67, 68) ani by został on formalnie wyznaczony jako taki.

31	W związku z tym w celu ustalenia, czy podmiot taki jak NVSC można uznać za administratora w rozumieniu art. 4 pkt 7 RODO, należy zbadać, czy podmiot ten rzeczywiście wpływał dla własnych interesów na określanie celów i sposobów tego przetwarzania.

W niniejszej sprawie, z zastrzeżeniem weryfikacji, których przeprowadzenie należy do sądu odsyłającego, z akt sprawy przed Trybunałem wynika, że stworzenie rozpatrywanej aplikacji mobilnej zostało zlecone przez NVSC i miało służyć realizacji wyznaczonego przez nie celu, a mianowicie zarządzania pandemią COVID-19 za pomocą narzędzia informatycznego służącego do rejestrowania i monitorowania danych osób narażonych na kontakt z wirusem COVID-19. NVSC planowało w tym celu przetwarzać dane osobowe użytkowników rozpatrywanej aplikacji mobilnej. Z postanowienia odsyłającego wynika ponadto, że parametry tej aplikacji, takie jak zadane pytania i ich brzmienie, zostały dostosowane do potrzeb NVSC i że NVSC odgrywało aktywną rolę w ich określaniu.

33	W tych okolicznościach należy co do zasady uznać, że NVSC rzeczywiście brało udział w określaniu celów i sposobów przetwarzania danych.

Natomiast sam fakt, że NVSC zostało wymienione jako administrator w polityce prywatności rozpatrywanej aplikacji mobilnej i że odnośniki kierujące do tego podmiotu zostały włączone do tej aplikacji, można uznać za istotny wyłącznie w zakresie, w jakim zostanie wykazane, że NVSC w sposób wyraźny lub dorozumiany wyraziło zgodę na tę wzmiankę lub te odnośniki.

Ponadto okoliczności wskazane przez sąd odsyłający w ramach rozważań poczynionych na poparcie trzech pierwszych pytań prejudycjalnych, a mianowicie, że NVSC samo nie przetwarzało danych osobowych, że nie istniała umowa między NVSC a spółką ITSS, że NVSC nie nabyło rozpatrywanej aplikacji mobilnej czy też że rozpowszechnianie tej aplikacji za pośrednictwem sklepów internetowych nie było przedmiotem zezwolenia NVSC, nie wykluczają możliwości uznania NVSC za „administratora” w rozumieniu art. 4 pkt 7 RODO.

36	Z przepisu tego, odczytywanego w świetle motywu 74 RODO, wynika bowiem, że dany podmiot, o ile spełnia warunek określony we wspomnianym art. 4 pkt 7, jest odpowiedzialny nie tylko za każde przetwarzanie danych osobowych, którego sam dokonuje, lecz również za przetwarzanie dokonywane w jego imieniu.

W tym względzie należy jednak uściślić, że NVSC nie można uznać za administratora danych osobowych, których przetwarzanie wynika z publicznego udostępnienia rozpatrywanej aplikacji mobilnej, jeżeli przed tym udostępnieniem wyraźnie sprzeciwiło się ono temu udostępnieniu, czego zweryfikowanie należy do sądu odsyłającego. W takim bowiem przypadku nie można uznać, że rozpatrywane przetwarzanie zostało dokonane w imieniu NVSC.

W związku z powyższym odpowiedź na pytania od pierwszego do trzeciego powinna brzmieć następująco: art. 4 pkt 7 RODO należy interpretować w ten sposób, że za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie mobilnej aplikacji informatycznej i który w tym kontekście uczestniczył w określaniu celów i sposobów przetwarzania danych osobowych dokonywanego za pośrednictwem tej aplikacji, nawet jeśli ów podmiot sam nie przeprowadził operacji przetwarzania takich danych, nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania lub na publiczne udostępnienie wspomnianej aplikacji mobilnej i nie nabył tejże aplikacji mobilnej, chyba że przed tym publicznym udostępnieniem wspomniany podmiot wyraźnie sprzeciwił się temu udostępnieniu i wynikłemu z niego przetwarzaniu danych osobowych.

W przedmiocie pytania piątego

Poprzez pytanie piąte, które należy zbadać w drugiej kolejności, sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 7 i art. 26 ust. 1 RODO należy interpretować w ten sposób, że uznanie dwóch podmiotów za współadministratorów zakłada istnienie uzgodnień między tymi podmiotami w przedmiocie określania celów i sposobów rozpatrywanego przetwarzania danych osobowych lub istnienie uzgodnień ustalających warunki odnoszące się do współadministrowania danymi.

40	Artykuł 26 ust. 1 RODO stanowi, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni „współadministratorami”.

41	Jak orzekł Trybunał, aby zostać uznanym za współadministratora, dana osoba fizyczna lub prawna musi zatem w sposób niezależny wpisywać się w definicję „administratora” zawartą w art. 4 pkt 7 dyrektywy RODO (zob. podobnie wyrok z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 74).

Jednakże współadministrowanie niekoniecznie przekłada się na równoważną odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 43). Ponadto współadministrowanie kilku podmiotów w zakresie tego samego przetwarzania nie zakłada, by każdy z nich miał dostęp do odnośnych danych osobowych (wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 69 i przytoczone tam orzecznictwo).

Jak zauważył rzecznik generalny w pkt 38 opinii, udział w określaniu celów i sposobów przetwarzania może przybierać różne formy, ponieważ udział ten może wynikać zarówno ze wspólnej decyzji podjętej przez co najmniej dwa podmioty, jak i ze zbieżnych decyzji takich podmiotów. Tymczasem w tym ostatnim przypadku wspomniane decyzje powinny uzupełniać się w taki sposób, aby każda z nich miała konkretny wpływ na określanie celów i sposobów przetwarzania.

44	Natomiast nie można wymagać, aby między tymi administratorami istniały formalne uzgodnienia co do celów i sposobów przetwarzania.

Prawdą jest, że zgodnie z art. 26 ust. 1 RODO odczytywanym w świetle jego motywu 79 współadministratorzy muszą w drodze wspólnych uzgodnień w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających tego rozporządzenia. Istnienie takich uzgodnień nie jest jednak warunkiem wstępnym uznania co najmniej dwóch podmiotów za współadministratorów, ale obowiązkiem, który art. 26 ust. 1 nakłada na współadministratorów, po zakwalifikowaniu ich jako takich, celem zapewnienia, że spełniają oni nałożone na nich wypływające z RODO wymogi. Taka kwalifikacja wynika zatem z samego faktu, że w określaniu celów i sposobów przetwarzania uczestniczyło kilka podmiotów.

W związku z powyższym odpowiedź na pytanie piąte powinna brzmieć następująco: art. 4 pkt 7 i art. 26 ust. 1 RODO należy interpretować w ten sposób, że uznanie dwóch podmiotów za współadministratorów nie zakłada ani istnienia uzgodnień między tymi podmiotami w przedmiocie określania celów i sposobów rozpatrywanego przetwarzania danych osobowych, ani istnienia uzgodnień ustalających warunki odnoszące się do współadministrowania danymi.

W przedmiocie pytania czwartego

47	Poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 2 RODO należy interpretować w ten sposób, że wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi „przetwarzanie” w rozumieniu tego przepisu.

W niniejszej sprawie, jak wynika z pkt 25 niniejszego wyroku, litewska spółka zarządzająca informatycznym systemem monitorowania i kontroli chorób zakaźnych stwarzających ryzyko rozprzestrzenienia się miała otrzymywać kopie danych osobowych zebranych przez rozpatrywaną aplikację mobilną. Do celów testów informatycznych wykorzystano fikcyjne dane, z wyjątkiem numerów telefonów pracowników tej spółki.

W tym względzie w pierwszej kolejności art. 4 pkt 2 RODO definiuje pojęcie „przetwarzania” jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”. W niewyczerpującym wyliczeniu, wprowadzonym sformułowaniem „taką jak”, przepis ten wymienia jako przykłady przetwarzania zbieranie, udostępnianie i wykorzystywanie danych osobowych.

Z brzmienia tego przepisu, a w szczególności z wyrażenia „[każdą] operację”, wynika, że prawodawca Unii zamierzał nadać pojęciu „przetwarzania” szeroki zakres [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych),C‑175/20, EU:C:2022:124, pkt 35] i że powodów, dla których wykonywana jest operacja lub zestaw operacji, nie można brać pod uwagę przy ustalaniu, czy ta operacja lub ten zestaw operacji stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO.

51	W związku z tym kwestia, czy dane osobowe są wykorzystywane do testowania systemów informatycznych, czy też w innym celu, nie ma wpływu na zakwalifikowanie danej operacji jako „przetwarzania” w rozumieniu art. 4 pkt 2 RODO.

52	W drugiej kolejności należy jednak uściślić, że jedynie przetwarzanie, które dotyczy „danych osobowych”, stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO.

W art. 4 pkt 1 rozporządzenia RODO uściślono w tym względzie, że „dane osobowe” oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, to jest o „osob[ie] fizyczn[ej], którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Tymczasem okoliczność, do której odnosi się sąd odsyłający w pytaniu czwartym, że chodzi o „kopie danych osobowych”, nie może sama w sobie podważyć zakwalifikowania tych kopii jako danych osobowych w rozumieniu art. 4 pkt 1 RODO, pod warunkiem że takie kopie faktycznie zawierają informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

55	Należy jednak stwierdzić, że fikcyjne dane, ponieważ nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, lecz do osoby, która w rzeczywistości nie istnieje, nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO.

56	To samo dotyczy danych wykorzystywanych do celów testowania systemów informatycznych, które [to dane] są anonimowe lub zostały zanonimizowane.

Z motywu 26 RODO, a także z samej definicji pojęcia „danych osobowych” zawartej w art. 4 pkt 1 tego rozporządzenia wynika bowiem, że pojęcie to nie obejmuje „informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną”, ani „danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”.

Natomiast z art. 4 pkt 5 RODO w związku z motywem 26 tego rozporządzenia wynika, że spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej, do których mają zastosowanie zasady ochrony danych.

W związku z powyższym odpowiedź na pytanie czwarte powinna brzmieć następująco: art. 4 pkt 2 RODO należy interpretować w ten sposób, że wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi „przetwarzanie” w rozumieniu tego przepisu, chyba że takie dane zostały zanonimizowane w taki sposób, że osoby, której te dane dotyczą, nie można lub już nie można zidentyfikować, lub chyba że chodzi o dane fikcyjne, które nie odnoszą się do istniejącej osoby fizycznej.

W przedmiocie pytania szóstego

Poprzez pytanie szóste sąd odsyłający dąży w istocie do ustalenia, czy art. 83 RODO należy interpretować w ten sposób, że po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, a po drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania dokonywanymi przez podmiot przetwarzający w jego imieniu.

Co się tyczy w pierwszej kolejności kwestii, czy administracyjna kara pieniężna może zostać nałożona na podstawie art. 83 RODO jedynie w zakresie, w jakim zostanie wykazane, że administrator lub podmiot przetwarzający dopuścił się, umyślnie lub w nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, z ust. 1 tego artykułu wynika, że te administracyjne kary pieniężne muszą być skuteczne, proporcjonalne i odstraszające. Natomiast art. 83 RODO nie uściśla wyraźnie, że takie naruszenie może zostać ukarane taką karą pieniężną tylko wtedy, gdy zostało ono popełnione umyślnie lub przynajmniej nieumyślnie.

Rząd litewski i Rada Unii Europejskiej wywodzą z tego, że prawodawca Unii zamierzał pozostawić państwom członkowskim pewien zakres uznania przy wdrażaniu art. 83 RODO, pozwalający im przewidzieć nałożenie administracyjnych kar pieniężnych na podstawie tego przepisu, w stosownym wypadku bez wykazania, że sankcjonowane tą karą pieniężną naruszenie przepisów RODO zostało popełnione umyślnie lub nieumyślnie.

63	Nie można przyjąć takiej wykładni art. 83 RODO.

W tym względzie należy przypomnieć, że zgodnie z art. 288 TFUE przepisy rozporządzeń mają co do zasady bezpośredni skutek w krajowych porządkach prawnych, bez konieczności przyjmowania przez władze krajowe środków wykonawczych. Niemniej jednak wprowadzenie w życie niektórych przepisów rozporządzenia może wymagać przyjęcia przez państwa członkowskie środków wykonawczych (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 58 i przytoczone tam orzecznictwo).

Jest tak w szczególności w przypadku RODO, którego niektóre przepisy dają państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 57).

Podobnie, w braku szczególnych przepisów proceduralnych w RODO, do porządku prawnego każdego państwa członkowskiego należy określenie, z zastrzeżeniem poszanowania zasad równoważności i skuteczności, zasad dotyczących działań mających na celu zapewnienie ochrony uprawnień, jakie podmioty prawa wywodzą z przepisów tego rozporządzenia [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych),C‑300/21, EU:C:2023:370, pkt 53, 54 i przytoczone tam orzecznictwo].

Jednakże nic w brzmieniu art. 83 ust. 1–6 RODO nie pozwala uznać, że prawodawca Unii zamierzał pozostawić państwom członkowskim zakres uznania w odniesieniu do przesłanek materialnych, które organ nadzorczy powinien spełnić, gdy postanawia nałożyć administracyjną karę pieniężną na administratora danych za naruszenie, o którym mowa w ust. 4–6 tego artykułu.

Prawdą jest, że z jednej strony art. 83 ust. 7 RODO przewiduje, że każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Z drugiej strony z art. 83 ust. 8 tego rozporządzenia, odczytywanego w świetle jego motywu 129, wynika, że wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy tego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.

Jednakże okoliczność, że wspomniane rozporządzenie daje w ten sposób państwom członkowskim możliwość ustanowienia wyjątków w stosunku do organów publicznych i podmiotów publicznych mających siedzibę na ich terytorium, a także wymogów dotyczących procedury stosowanej przez organy nadzorcze w celu nałożenia administracyjnej kary pieniężnej, w żaden sposób nie oznacza, że państwa te są również uprawnione do ustanowienia, poza takimi wyjątkami i wymogami proceduralnymi, materialnych przesłanek, które muszą być spełnione w celu pociągnięcia administratora danych do odpowiedzialności i nałożenia na niego administracyjnej kary pieniężnej na podstawie wspomnianego art. 83. Ponadto fakt, że prawodawca Unii zadbał o to, by wyraźnie przewidzieć tę możliwość, ale nie możliwość ustanowienia przez państwa członkowskie takich przesłanek materialnych, potwierdza, że nie pozostawił on państwom członkowskim zakresu uznania w tym względzie.

Stwierdzenie to znajduje również potwierdzenie w łącznej lekturze art. 83 i 84 RODO. Artykuł 84 ust. 1 tego rozporządzenia dopuszcza bowiem, by państwa członkowskie zachowały kompetencje do przyjmowania przepisów określających „inne sankcje” za naruszenia tego rozporządzenia, „w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83”. Z takiej łącznej lektury tych przepisów wynika zatem, że kompetencja ta nie obejmuje określenia przesłanek materialnych pozwalających na nałożenie takich administracyjnych kar pieniężnych. Przesłanki te podlegają zatem wyłącznie prawu Unii.

W odniesieniu do wspomnianych przesłanek należy zauważyć, że art. 83 ust. 2 RODO wymienia elementy, w świetle których organ nadzorczy nakłada administracyjną karę pieniężną na administratora. Wśród tych elementów w lit. b) tego przepisu figuruje „umyślny lub nieumyślny charakter naruszenia”. Natomiast żaden z elementów wymienionych we wspomnianym przepisie nie wskazuje na jakąkolwiek możliwość powstania odpowiedzialności administratora w braku zawinionego zachowania po jego stronie.

Ponadto art. 83 ust. 2 RODO należy odczytywać w związku z ust. 3 tego artykułu, którego celem jest uregulowanie konsekwencji kumulacji naruszeń tego rozporządzenia, zgodnie z którym „[j]eżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie”.

Z brzmienia art. 83 ust. 2 RODO wynika zatem, że jedynie naruszenia przepisów tego rozporządzenia popełnione w sposób zawiniony przez administratora, czyli naruszenia popełnione umyślnie lub nieumyślnie mogą prowadzić do nałożenia na niego administracyjnej kary pieniężnej na podstawie tego artykułu.

74	Ogólna systematyka i cel RODO potwierdzają takie rozumienie.

75	Po pierwsze, prawodawca Unii przewidział system sankcji umożliwiający organom nadzorczym nakładanie najbardziej odpowiednich sankcji w zależności od okoliczności danego przypadku.

Artykuł 58 RODO, który określa uprawnienia organów nadzorczych, przewiduje bowiem w ust. 2 lit. i), że organy te mogą nakładać administracyjne kary pieniężne na podstawie art. 83 tego rozporządzenia „oprócz lub zamiast” wykonywania innych przysługujących im uprawnień naprawczych wymienionych w tym art. 58 ust. 2, takich jak wydawanie ostrzeżeń, udzielanie upomnień lub nakazywanie podjęcia określonych działań. Podobnie motyw 148 wspomnianego rozporządzenia stanowi między innymi, że organy nadzorcze mogą, jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, odstąpić od nałożenia administracyjnej kary pieniężnej i zamiast tego udzielić upomnienia.

Po drugie, z motywu 10 RODO wynika zwłaszcza, że jego przepisy zmierzają w szczególności do zapewnienia wysokiego i spójnego stopnia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii i w tym celu zapewnienia spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem takich danych w całej Unii. W motywach 11 i 129 RODO podkreślono ponadto konieczność zapewnienia, celem zagwarantowania spójnego stosowania tego rozporządzenia, by organy nadzorcze dysponowały równorzędnymi uprawnieniami w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz by mogły nakładać równorzędne kary za naruszenia przepisów wspomnianego rozporządzenia.

Istnienie systemu sankcji umożliwiającego nałożenie, jeżeli jest to uzasadnione szczególnymi okolicznościami danej sprawy, administracyjnej kary pieniężnej na podstawie art. 83 RODO stanowi zachętę dla administratorów i podmiotów przetwarzających do przestrzegania tego rozporządzenia. Ze względu na swój skutek odstraszający administracyjne kary pieniężne przyczyniają się do wzmocnienia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, a zatem stanowią kluczowy element dla zagwarantowania poszanowania praw tych osób, zgodnie z celem tego rozporządzenia, jakim jest zapewnienie wysokiego poziomu ochrony takich osób w zakresie przetwarzania danych osobowych.

Jednakże prawodawca Unii nie uznał za konieczne, dążąc do zapewnienia tak wysokiego poziomu ochrony, by przewidzieć nakładanie administracyjnych kar pieniężnych nawet w przypadku braku winy. Biorąc pod uwagę fakt, że celem RODO jest osiągnięcie zarazem równoważnego i jednolitego poziomu ochrony oraz że w związku z tym należy je stosować w sposób spójny w całej Unii, byłoby sprzeczne z tymże celem umożliwienie państwom członkowskim ustanowienia takiego systemu nakładania kar pieniężnych na podstawie art. 83 tego rozporządzenia. Taka swoboda wyboru mogłaby ponadto zakłócić konkurencję między podmiotami gospodarczymi w Unii, co byłoby sprzeczne z celami wyrażonymi przez prawodawcę Unii, w szczególności w motywach 9 i 13 wspomnianego rozporządzenia.

W konsekwencji należy stwierdzić, że art. 83 RODO nie zezwala na nałożenie administracyjnej kary pieniężnej za naruszenie, o którym mowa w jego ust. 4–6, bez wykazania, że naruszenie to zostało popełnione umyślnie lub nieumyślnie przez administratora, i że w związku z tym zawinione naruszenie stanowi przesłankę nałożenia takiej kary pieniężnej.

W tym względzie należy jeszcze wyjaśnić w odniesieniu do kwestii, czy naruszenie zostało popełnione umyślnie lub nieumyślnie i z tego względu może podlegać sankcji administracyjnej kary pieniężnej na podstawie art. 83 RODO, że administrator może zostać ukarany za zachowanie wchodzące w zakres stosowania RODO, jeżeli nie mógł nie wiedzieć, że jego zachowanie stanowi naruszenie, niezależnie od tego, czy miał świadomość naruszania przepisów RODO, czy też nie (zob. analogicznie wyroki: z dnia 18 czerwca 2013 r., Schenker & Co. i in., C‑681/11, EU:C:2013:404, pkt 37 i przytoczone tam orzecznictwo; z dnia 25 marca 2021 r., Lundbeck/Komisja, C‑591/16 P, EU:C:2021:243, pkt 156; z dnia 25 marca 2021 r., Arrow Group i Arrow Generics/KomisjaC‑601/16 P, EU:C:2021:244, pkt 97).

W przypadku gdy administratorem jest osoba prawna, należy jeszcze uściślić, że stosowanie art. 83 RODO nie zakłada działania ani nawet wiedzy organu zarządzającego tej osoby prawnej (zob. analogicznie wyroki: z dnia 7 czerwca 1983 r., Musique Diffusion française i in./Komisja, od 100/80 do 103/80, EU:C:1983:158, pkt 97; a także z dnia 16 lutego 2017 r., Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisja, C‑94/15 P, EU:C:2017:124, pkt 28 i przytoczone tam orzecznictwo).

Co się tyczy w drugiej kolejności kwestii, czy na administratora można nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO w związku z operacjami przetwarzania dokonywanymi przez podmiot przetwarzający, należy przypomnieć, że zgodnie z definicją zawartą w art. 4 pkt 8 RODO podmiot przetwarzający oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.

Ponieważ, jak wskazano w pkt 36 niniejszego wyroku, administrator jest administratorem danych nie tylko w odniesieniu do każdego przetwarzania danych osobowych, którego sam dokonuje, lecz również w odniesieniu do przetwarzania dokonywanego w jego imieniu, na tego administratora może zostać nałożona administracyjna kara pieniężna na podstawie art. 83 RODO w sytuacji, gdy dane osobowe są przetwarzane niezgodnie z prawem i gdy to nie taki administrator, lecz podmiot przetwarzający, z którego usługi ów administrator korzysta, dokonał tego przetwarzania w jego imieniu.

Jednakże odpowiedzialność administratora za zachowanie podmiotu przetwarzającego nie może rozciągać się na sytuacje, w których podmiot przetwarzający przetwarzał dane osobowe do swoich własnych celów lub gdy podmiot ten przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator wyraził na to zgodę. Zgodnie bowiem z art. 28 ust. 10 RODO w takim przypadku podmiot przetwarzający należy uznać za administratora w odniesieniu do takiego przetwarzania.

W związku z powyższym odpowiedź na pytanie szóste powinna brzmieć następująco: art. 83 RODO należy interpretować w ten sposób, że po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, a po drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania danych osobowych dokonywanymi przez podmiot przetwarzający w jego imieniu, z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający dokonywał przetwarzania danych do swoich własnych celów lub przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.

W przedmiocie kosztów

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

za administratora w rozumieniu tego przepisu można uznać podmiot, który zlecił danemu przedsiębiorstwu opracowanie mobilnej aplikacji informatycznej i który w tym kontekście uczestniczył w określaniu celów i sposobów przetwarzania danych osobowych dokonywanego za pośrednictwem tej aplikacji, nawet jeśli ów podmiot sam nie przeprowadził operacji przetwarzania takich danych, nie udzielił wyraźnej zgody na realizację konkretnych operacji takiego przetwarzania lub na publiczne udostępnienie wspomnianej aplikacji mobilnej i nie nabył tejże aplikacji mobilnej, chyba że przed tym publicznym udostępnieniem wspomniany podmiot wyraźnie sprzeciwił się temu udostępnieniu i wynikłemu z niego przetwarzaniu danych osobowych.

Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

uznanie dwóch podmiotów za współadministratorów nie zakłada ani istnienia uzgodnień między tymi podmiotami w przedmiocie określania celów i sposobów rozpatrywanego przetwarzania danych osobowych, ani istnienia uzgodnień ustalających warunki odnoszące się do współadministrowania danymi.

Artykuł 4 pkt 2 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

wykorzystywanie danych osobowych do celów testowania systemów informatycznych zintegrowanych z aplikacją mobilną stanowi „przetwarzanie” w rozumieniu tego przepisu, chyba że takie dane zostały zanonimizowane w taki sposób, że osoby, której te dane dotyczą, nie można lub już nie można zidentyfikować, lub chyba że chodzi o dane fikcyjne, które nie odnoszą się do istniejącej osoby fizycznej.

Artykuł 83 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, oraz

po drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania danych osobowych dokonywanymi przez podmiot przetwarzający w jego imieniu, z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający dokonywał przetwarzania danych do swoich własnych celów lub przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.

Podpisy

( *1 ) Język postępowania: litewski.